cisco-vpn配置指南(带注解).docx

《cisco-vpn配置指南(带注解).docx》由会员分享，可在线阅读，更多相关《cisco-vpn配置指南(带注解).docx（6页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、以下为路由器 A 的配置，路由器 B 只需对相应配置做更改即可1：配置 IKErouterconfig) crypto isakmp enable启用 IKE默认是启动的) router(config crypto isakmp policy 100#建立 IKE 策略，优先级为 100 routerconfig-isakmp authentication preshare#使用预共享的密码进展身份验证routerconfig-isakmp encryption des#使用 des 加密方式router(config-isakmp) group 1指定密钥位数，group 2 安全性更高，但

2、更耗 cpu router(config-isakmp hash md5#指定 hash 算法为MD5其他方式：sha，rsa routerconfigisakmp# lifetime 86400指定 SA 有效期时间。默认 86400 秒,两端要全都以上配置可通过 show crypto isakmp policy 显示。VPN 两端路由器的上述配置要完全一样。2：配置 Keysrouterconfig)# crypto isakmp key cisco1122 address 10.0.0。2-(设置要使用的预共享密钥和指定 vpn 另一端路由器的 IP 地址)3：配置 IPSECrout

3、er(config crypto ipsec transformset abc espdes esp-md5-hmac配置 IPSec 交换集abc 这个名字可以任凭取，两端的名字也可不一样,但其他参数要全都。router(config crypto ipsec securityassociation lifetime 86400ipsec 安全关联存活期，也可不配置，在下面的 map 里指定即可router(config) accesslist 110 permit tcp 172.16.1。0 0。0。0。255 172。16。2。0 0。0.0。255 routerconfig) acc

4、ess-list 110 permit tcp 172.16.2。0 0.0.0.255 172.16.1.0 0。0.0。2554. 配置 IPSEC 加密映射router(config# crypto map mymap 100 ipsecisakmp 创立加密图routerconfigcrypto-map)# match address 110用 ACL 来定义加密的通信routerconfigcryptomap) set peer 10.0.0。2标识对方路由器 IP 地址routerconfigcrypto-map)# set transformset abc 指定加密图使用的 IP

5、SEC 交换集router(config-cryptomap)# set securityassociation lifetime 86400 routerconfigcryptomap# set pfs group 15. 应用加密图到接口 router(config# interface ethernet0/1 router(config-if) crypto map mamap相关学问点：对称加密或私有密钥加密：加密解密使用一样的私钥DES-数据加密标准 data encryption standard3DES3 倍数据加密标准 triple data encryption standa

6、rd AES高级加密标准 advanced encryption standard一些技术供给验证:MAC-消息验证码 message authentication codeHMAC-散列消息验证码 hash-based message authentication code MD5 和 SHA 是供给验证的散列函数对称加密被用于大容量数据，由于非对称加密站用大量 cpu 资源非对称或公共密钥加密：RSArivestshamiradelman用公钥加密，私钥解密。公钥是公开的，但只有私钥的拥有者才能解密两个散列常用算法：HMACMD5 使用 128 位的共享私有密钥HMAC-SHAI 使用 1

7、60 位的私有密钥ESP 协议：用来供给机密性，数据源验证，无连接完整性和反重放效劳，并且通过防止流量分析来限制流量的机密性，这些效劳以来于 SA 建立和实现时的选择.加密是有 DES 或 3DES 算法完成.可选的验证和数据完整性由 HMAC,keyed SHAI 或 MD5 供给IKE-internet 密钥交换：他供给 IPSEC 对等体验证，协商 IPSEC 密钥和协商 IPSEC 安全关联实现 IKE 的组件1：des，3des 用来加密的方式2:DiffieHellman 基于公共密钥的加密协议允许对方在担忧全的信道上建立公共密钥，在 IKE 中被用来建立会话密钥。group 1

8、表示 768 位，group 2 表示 1024 位3：MD5，SHA-验证数据包的散列算法。RAS 签名-基于公钥加密系统Tunnel 通道可以看作是最简洁的一种VPN 形式,它的参数很简洁只要配置Tunnel Source 和Tunnel Destination 两个参数就可以了.在公司的南京办事处与上海办事处之间建立 VPN 联接南京办事处网络设置： 内网 IP 10。1.1。0/24外网 IP 202。102。1.5/24上海办事处网络设置： 内网 IP 10.1.2。0/24外网 IP 202.102。1.6/24南京路由器配置!service timestamps debug up

9、time service timestamps log uptime no service passwordencryption！hostname nanjing!enable cisco！!-以下配置加密-crypto isakmp policy 1 生成 iskamp policy number 1encryption des 选择用 DES encryption 也可用 3DES 指定三倍 DES 加密hash sha 指定使用的散列算法，也可以是 md5(二端保持全都 authentication pre-sharegroup 1 指定为 Diffie-Hellman 组，1 表示 7

10、68 位，2 表示 1024 位lifetime 14400 指定安全关联的有效期，不设就为默认值-以下配置密钥方法-crypto isakmp identity address 指定与远程路由器通信时使用 isakmp 标识crypto isakmp key 654321 address 202.102。1.6 对远程路由器端口 202.102.1。6 使用密钥 654321 crypto isakmp key 654321 address 192.168.1.2 对远程路由器隧道端口 192.168。1。2 使用密钥654321！以下定义一个转换集-crypto ipsec transfo

11、rmset tset1 ah-md5hmac esp-des esp-md5-hmac 可以定义一个或多个集！-以下建立加密图-crypto map cmap1 local-address serial 0 定义加密图 cmap1 并指定 s0 为本地地址crypto map cmap1 1 ipsecisakmp 用序号 1 设置加密图set peer 202。102。1.6 设定目标地址set peer 192。168。1.2set transform-set test1 指定转换集match address 111 指定加密访问列表 111 中的地址!！processmaxtime 20

12、0！以下设置隧道端口-interface Tunnel0ip address 192。168.1.1 255.255.255.0 tunnel source 202。102.1。5tunnel destination 202。102.1。6 crypto map cmap！-以下设置内网口-interface Ethernet0ip address 10.1.1.1 255.255。255。0!-以下设置外网口- interface serial0ip address 202.102。1。5 255。255。255.0no ip mroute-cache no fair-queue crypt

13、o map cmap!ip classless！-以下建立访问列表 111-access-list 111 permit ip host 202。102。1.5 host 202。102.1。6 access-list 111 permit ip host 202。102。1.6 host 202。102。1.5accesslist 111 permit ip 10.1。1。0 0.0.0.255 202。102.1。0 0。0。0。255 accesslist 111 permit ip 10。1.2.0 0.0.0。255 202.102。1.0 0.0.0。255 accesslist

14、111 permit ip 10.1.1.0 0。0.0.255 10。1。2.0 0.0.0。255access-list 111 permit ip 10.1。2.0 0.0.0.255 10。1.1。0 0.0。0。255!line con 0line aux 0line vty 0 4 password cisco login！end!上海路由器配置!service timestamps debug uptime service timestamps log uptime no service passwordencryption！hostname shanghai!enable ci

15、sco！!-以下配置加密-crypto isakmp policy 1 生成 iskamp policy number 1encryption des 选择用 DES encryption 也可用 3DES 指定三倍 DES 加密hash sha 指定使用的散列算法，也可以是 md5二端保持全都) authentication pre-sharegroup 1 指定为 Diffie-Hellman 组,1 表示 768 位,2 表示 1024 位lifetime 14400 指定安全关联的有效期，不设就为默认值-以下配置密钥方法-crypto isakmp identity address 指

16、定与远程路由器通信时使用 isakmp 标识crypto isakmp key 654321 address 202.102.1.5 对远程路由器端口 202。102.1.6 使用密钥 654321crypto isakmp key 654321 address 202.102。1。6 对远程路由器端口 202。102.1。6 使用密钥 654321 crypto isakmp key 654321 address 192.168.1 。1 对远程路由器隧道端口 192。168。1。2 使用密钥654321！-以下定义一个转换集crypto ipsec transform-set tset1

17、ahmd5-hmac espdes espmd5-hmac 可以定义一个或多个集！!-以下建立加密图-crypto map cmap1 localaddress serial 0 定义加密图 cmap1 并指定 s0 为本地地址crypto map cmap1 1 ipsecisakmp 用序号 1 设置加密图set peer 202。102。1.5 设定目标地址set peer 202.102。1。6 set peer 192。168。1.1set transformset test1 指定转换集match address 111 指定加密访问列表 111 中的地址！processmaxti

18、me 200！-以下设置隧道端口- interface Tunnel0ip address 192。168.1.2 255。255.255.0 tunnel source 202。102。1。6tunnel destination 202.102.1。5 crypto map cmap!-以下设置内网口-interface Ethernet0ip address 10。1.2.1 255.255.255。0!-以下设置外网口- interface serial0ip address 202.102.1.6 255。255.255。0 no ip mroute-cacheno fairqueue

19、 crypto map cmap!ip classless!-以下建立访问列表 111-access-list 111 permit ip host 202。102.1。5 host 202.102。1。6 accesslist 111 permit ip host 202.102.1。6 host 202。102.1.5accesslist 111 permit ip 10.1.1.0 0。0。0。255 202.102。1。0 0.0。0.255accesslist 111 permit ip 10。1.2.0 0.0.0.255 202。102.1.0 0.0。0。255 access-list 111 permit ip 10.1.1.0 0。0。0。255 10.1.2.0 0.0.0。255 accesslist 111 permit ip 10。1。2.0 0。0.0。255 10。1。1.0 0.0.0。255！line con 0line aux 0line vty 0 4 password cisco login！end